Ink Dragon

Especialistas em cibersegurança alertam que o grupo de hackers conhecido como ‘Ink Dragon’, patrocinado pelo Estado chinês, está ampliando suas operações em governos europeus. De acordo com um relatório da Check Point Software, os atacantes exploram servidores Microsoft IIS e SharePoint mal configurados para obter acesso inicial e estabelecer uma presença persistente. Ao invés de utilizar vulnerabilidades zero-day, que poderiam acionar alarmes de segurança, eles se aproveitam de fraquezas e configurações inadequadas. Uma vez dentro, o grupo instala backdoors, como o FinalDraft, que foi recentemente atualizado para misturar seu tráfego de comando e controle (C2) com atividades normais da nuvem da Microsoft, dificultando a detecção. O malware opera principalmente durante o horário comercial, quando o tráfego é mais intenso, tornando mais difícil identificar atividades suspeitas. O relatório indica que dezenas de entidades, incluindo governos e empresas de telecomunicações na Europa, Ásia e África, foram afetadas, com a operação de relé se expandindo gradualmente desde a segunda metade de 2025. A situação representa um risco significativo para a segurança cibernética, especialmente para organizações que utilizam as tecnologias mencionadas.

Desde julho de 2025, o grupo de cibercriminosos conhecido como Jewelbug tem direcionado suas atividades principalmente a alvos governamentais na Europa, enquanto ainda mantém ataques em regiões da Ásia e América do Sul. A Check Point Research, que monitora essa ameaça sob o nome Ink Dragon, descreve a atuação do grupo como altamente eficaz e discreta, utilizando engenharia de software avançada e ferramentas nativas de plataformas para se camuflar no tráfego normal das empresas. Entre suas táticas, destacam-se o uso de backdoors como FINALDRAFT e NANOREMOTE, que permitem controle remoto e exfiltração de dados. O grupo também explorou vulnerabilidades em serviços da ASP.NET e SharePoint para comprometer servidores e estabelecer uma infraestrutura de comando e controle (C2). As intrusões têm resultado em acesso a informações sensíveis, incluindo credenciais administrativas e dados de registro. A Check Point alerta que a arquitetura de relé do Ink Dragon permite que um único comprometimento se torne um nó em uma rede de ataques mais ampla, exigindo que as defesas considerem a possibilidade de uma rede de cibercriminosos interconectada.